Douglas J. Leith, un professeur en informatique, classe la confidentialité de six principaux navigateurs
Douglas J. Leith, un professeur de systèmes informatiques, classe la confidentialité de six principaux navigateurs à travers une étude
et porte Brave en tête du classement devant Chrome et Firefox, car il n’exploiterait aucune donnée qui permettrait à son éditeur de suivre les utilisateurs
Alors que par le passé les attentes des utilisateurs vis-à-vis des navigateurs étaient axées sur la prise en charge des normes du World Wide Web Consortium (abrégé W3C chargé de la standardisation des technologies du Web), aujourd’hui, lorsque les utilisateurs portent leur dévolu sur un navigateur, une des préoccupations majeures est la confidentialité offerte par ce dernier.
Conscients de ces attentes, les éditeurs de navigateurs se sont lancés depuis quelques années dans une campagne dans laquelle chaque entreprise se réclame d’offrir le plus de protection possible pour les données confidentielles des utilisateurs. Dans ce sens, de nombreuses fonctionnalités ont été intégrées aux navigateurs comme les outils de blocage de publicités, de lutte contre le suivi des utilisateurs, de protection contre les sites de phishing ou encore la navigation privée pour ne citer que celles-là. Toutes ces mesures n’ont pour but que de lutter contre les intrusions tierces. Mais qu’en est-il des données envoyées aux serveurs des fournisseurs des navigateurs ?
En effet, pour fournir les services personnalisés rattachés à leurs plateformes respectives comme les mises à jour, les informations d’authentification, le remplissage automatique de formulaires, la synchronisation des éléments de navigation entre différents appareils, etc., les navigateurs envoient plusieurs informations de navigation à leurs serveurs. Ces données collectées par les entreprises, bien que nécessaires pour plusieurs raisons, peuvent être perçues comme un couteau à double tranchant, en d’autres termes, elles peuvent être utilisées pour sécuriser les données des utilisateurs ou pourraient être exploitées par le fournisseur du navigateur pour suivre l’utilisateur.
Afin de mesurer les risques de confidentialité associés aux échanges de données avec les serveurs lors de la navigation générale sur le Web, Douglas J. Leith, un professeur de chaire des systèmes informatiques du Trinity College de Dublin, en Irlande, a tenté d’examiner les données échangées entre les navigateurs et les serveurs de six principaux fournisseurs de navigateurs. Il s’agit notamment de celles envoyées aux serveurs de Google Chrome, Mozilla Firefox, Apple Safari, Brave Browser, Microsoft Edge et Yandex Browser. Dans son étude, Leith a analysé les données partagées au premier démarrage d’une installation de navigateur et lors de la fermeture et du redémarrage du navigateur. Il a également examiné les données échangées avec les serveurs lors du collage et de la saisie d’une URL dans la barre d’adresse et ce qui se passe sous le capot lorsque le navigateur est inactif.
Brave, le navigateur le plus respectueux de confidentialité parmi les six navigateurs étudiés
Après avoir analysé les données échangées entre les serveurs et le navigateur de chaque éditeur lors de ces différentes interactions, Leith a dégagé trois groupes distincts parmi les six navigateurs utilisés. Selon le chercheur, Brave, le navigateur open source créé par Brendan Eich (le créateur du langage JavaScript et ancien CEO de Mozilla) dans le but principal de protéger la vie privée des utilisateurs, représente le premier groupe et est de loin le navigateur qui manipule le moins de données des utilisateurs côté serveur. Même utilisé avec ses paramètres par défaut, Brave n’exploite aucun identifiant permettant le suivi de l’adresse IP dans le temps, et ne partage aucun détail des pages Web visitées avec les serveurs, rapporte le professeur.
Le deuxième groupe de navigateurs
Dans le deuxième groupe, Leith a positionné Chrome, Firefox et Safari, car collectant et exploitant beaucoup plus de données d’utilisateurs. Sur la base des éléments observés, le professeur avance que ces trois navigateurs étiquettent les requêtes avec les identifiants qui sont liés à l’instance du navigateur (c’est-à-dire des identifiants qui persistent pendant les redémarrages du navigateur, mais sont réinitialisés lors d’une nouvelle installation du navigateur). Il ajoute que les trois navigateurs partagent avec leurs serveurs les détails de pages Web visitées et particulièrement lorsque les utilisateurs ont recours à la fonctionnalité de saisie semi-automatique lors des recherches qui envoie en temps réel les adresses Web aux serveurs à mesure que les utilisateurs saisissent des informations.
Plus en détail, Leith déclare avoir constaté que Chrome marque ces adresses Web avec un identifiant persistant qui permet de lier les adresses entre elles. Safari pour sa part utiliserait un identifiant éphémère tandis que Firefox n’enverrait aucun identifiant à côté des adresses Web. Cette fonctionnalité de saisie semi-automatique de recherche peut être désactivée par les utilisateurs, mais dans les trois navigateurs, elle est silencieusement activée par défaut, souligne Leith.
En plus de ces découvertes, Leith explique que Chrome définit un cookie persistant au premier démarrage qui est transmis à Google au redémarrage du navigateur. Du côté de Firefox, l’informaticien explique que le navigateur de Mozilla inclut des identifiants dans ses transmissions de télémétrie à la fondation afin d’effectuer des liaisons au fil du temps. Il souligne également que Firefox maintient un websocket ouvert pour les notifications push qui est lié à un identifiant unique qui peut donc potentiellement être utilisé pour le suivi. Cette dernière fonctionnalité ne peut pas être facilement désactivée, prévient-il.
Enfin, Leith souligne que Safari, qui est mis en avant par Apple pour la protection contre le suivi des utilisateurs, utilise par défaut un choix de page de démarrage qui extrait les pages de plusieurs plateformes tierces (Facebook, Twitter, etc., des sites peu connus pour leur respect de la vie privée) et leur permet donc potentiellement de charger des pages contenant des identifiants dans le cache du navigateur. Mais en dehors de la page de démarrage, Safari n’a établi aucune connexion réseau étrangère et n’a transmis aucun identifiant persistant, sauf lors des connexions iCloud, précise Leith. Pour résumer, le chercheur fait remarquer que Chrome, Firefox et Safari peuvent tous être configurés pour être plus privés, mais nécessitent un ajustement dans les paramètres activés par défaut.
Le troisième groupe de navigateurs
Dans troisième groupe, Leith a classé Edge et Yandex qui selon lui présentent beaucoup plus d’inquiétude en termes de confidentialité. Il aurait découvert que les deux navigateurs envoient des identifiants qui sont liés au matériel de l’appareil et qui persistent donc lors des nouvelles installations de navigateur et peuvent également être utilisés pour lier différentes applications exécutées sur le même appareil. Dans la pratique, Edge enverrait l’UUID matériel de l’appareil à Microsoft, un identifiant fort et durable qui ne peut pas être facilement modifié ou supprimé. De même, Yandex transmettrait un hachage du numéro de série matériel et de l’adresse MAC aux serveurs de l’éditeur russe. En sus, ces navigateurs partageraient des détails de pages visitées lors de l’usage de la saisie semi-automatique de recherche, et transmettraient des informations d’autres informations aux serveurs et qui ne seraient pas liées à la fonctionnalité de saisie semi-automatique de recherche.
Source : Rapport de l’étude (PDF)
Et vous ?
Quels commentaires faites-vous des résultats issus de cette étude ?
Voir aussi
Répondre avec citation
Partager